Množství agresivních kybernetických útoků proti malým a středním podnikům ve Velké Británii za poslední dva roky výrazně vzrostlo, avšak – alespoň navenek – přetrvává podivné ticho. Občas se o této zintenzivňující válce doslechneme v podobě zpráv o vymáhání digitálního výkupného nebo útocích typu DDoS, avšak těžko se ubránit pocitu, že malé a střední podniky zůstávají na boj s počítačovými útočníky samy.
Přesný přehled o rozsahu úspěšných útoků neexistuje – mnoho malých a středních podniků drží informace v tajnosti z obavy před negativní publicitou – ale čas o času se vynoří zvěsti o skutečných firmách v Londýně i jinde, které jsou zaplavené pokusy o fakturační podvody, DDoS útoky, vyděračství, narušení webů a krádež bankovních údajů pomocí phishingu.
Většina údajů pochází z výpočtů na základě cílenosti útoků a dovození výše škody, jakou musejí útočníci způsobit, aby byl jejich zločinný obchodní model udržitelný. Výmluvným příkladem z nedávné doby byla výstraha z března 2016, kterou vydalo britské národní centrum pro ohlašování podvodů a kybernetického zločinu Action Fraud ohledně prudkého nárůstu počtu vyděračských útoků, které proti malým podnikům provádí zločinecká skupina, která sama sebe nazývá „RepKiller Team“. Útočníci jsou poměrně drzí: napadené podniky mají zaplatit výkupné v bitcoinech v hodnotě zhruba ?300–?500, jinak je čeká blíže nespecifikovaný kybernetický útok a automatická kampaň šířící negativní on-line recenze na jejich produkty a služby.
Význam týmu RepKiller spočívá v jeho specifickém principu vydírání. Většina vyděračských útoků sestává z určité formy demonstrace síly a schopnosti zločinecké skupiny ublížit napadenému, obvykle pomocí DDoS útoku, který ochromí webové stránky nebo servery. Takováto kampaň naznačuje, že útočníci jsou si dosažením ekonomického úspěchu natolik jistí, že vynechali prvek šokování a ohromení. To by mělo být výstražné znamení.
Za bezpečností do Londýna
Současná situace je sice složitá, avšak nikoli beznadějná. Malá, ale významná skupina organizací se začala mobilizovat s cílem poskytnout menším podnikům východisko k zásadnímu přehodnocení svého přístupu ke kybernetické bezpečnosti. Jednou z takových organizací je Londýnské centrum digitální bezpečnosti (LDSC), které řídí nenápadný Kaliforňan Patrick Nuttall kromě svého hlavního povolání odborníka na kybernetickou bezpečnost ve společnosti KPMG.
Centrum LDSC pod vedením Patricka Nuttalla začalo fungovat téměř před rokem poté, co získalo peníze na první dva roky provozu z městské kasy, konkrétně Úřadu primátora pro potírání zločinnosti (MOPAC), což odráží obavy, že problém kybernetického zločinu namířeného proti malým a středním podnikům se začal vymykat možnostem policejních složek, jako jsou národní bezpečnostní agentura NCA nebo městská policie a policie města Londýna. Policejní jednotky pro boj s počítačovým zločinem byly založeny s tím, aby shromažďovaly poznatky, stíhaly zločince a sledovaly důkazní stopy kvůli případnému trestnímu řízení. Nejsou však připravené radit londýnským podnikům v takovém rozsahu, aby významným způsobem posílily prevenci.
To má nyní v popisu práce Patrick Nuttall a jeho tým a nezdá se, že by jej rozsah úkolu, který přijal, příliš znepokojoval. Základním problémem je, že malé a střední podniky musejí začít analýzou svého zabezpečení s ohledem na aktuální bezpečnostní situaci, avšak poradenství v této záležitosti je drahé.
Oficiální rady naopak bývají fragmentované a dílčí. Odbornější konzultace, které jdou hlouběji než samozřejmé rady, nejsou k mání bez prostředků, kterých se malým a středním podnikům v mnoha případech nedostává.
„Snažíme se zdůrazňovat základní kroky, které může podniknout každý, protože tam pozorujeme nedostatky,“ říká Nuttall a poznamenává, že londýnské podniky do 20 zaměstnanců tvoří 45 % HDP města. „Množství útoků, které nikdo neohlásí, je šokující,“ říká Nuttall. „Ke ztrátám dochází v souvislosti s útoky založenými na sociálním inženýrství, i poměrně prostými, zejména fakturačními podvody.“
Model služeb poskytovaných LDSC je založen na principu, který začalo jako první aplikovat Skotské centrum obranyschopnosti podniku (SBRC), a zahrnuje celou škálu posudků a analýz:
• Analýza digitální stopy, jež zkoumá veřejně dostupné informace o firmě, které by mohly zneužít počítačoví zločinci k útokům založeným na sociálním inženýrství.
• Základní bezpečnostní analýza zkoumající běžné problémy, např. zda jsou aplikovány aktualizace softwaru, jestli nejsou užívána implicitně nastavená hesla, výskyt zranitelností síťových a webových serverů, přítomnost zastaralých zařízení a slabin v zabezpečení přístupu k Wi-Fi.
• Poradenství ohledně odstranění nedostatků zjištěných při bezpečnostní analýze ve spolupráci s dodavatelem IT, kterého si podnik zvolí. Součástí je i poradenství ohledně dosažení trvale bezpečného stavu.
• Poradenství a vzory pro zpracování pravidel pro zaměstnance, jak bezpečně užívat systémy z hlediska hesel a chování.
• Plán předávání informací o bezpečnostních hrozbách ze zdrojů, jako jsou Národní úřad pro informace o podvodech (NFIB) a CERT UK, v podobě výstrah snadno využitelných malými a středními podniky, případně ještě přizpůsobených jednotlivým odvětvím.
Společným jmenovatelem všech těchto služeb je využití studentů univerzit, jako je např. londýnská Royal Holloway, k technickým analýzám, což také vysvětluje mírnou cenu okolo 350 liber za den práce testéra. Komplexnější analýza tedy vyjde zhruba na 3 500 liber. Cena je to vysoká v poměru s prací elektrikáře nebo instalatéra v britské metropoli, ale vzhledem k tomu, že profesionální bezpečnostní firmy si neúčtují méně než 5 000 liber za jeden test, to je rozhodně dostupná částka. „Musíme co nejméně hovořit technickým jazykem a musíme být konkrétní,“ popisuje Nuttall rady, které se snaží předávat v rámci svých služeb, a zdůrazňuje, že LDSC se nesnaží konkurovat zavedeným bezpečnostním firmám. „Většina naší práce se týká základního zabezpečení infrastruktury.“
Ačkoli LDSC je první dva roky financované z veřejných zdrojů, zpoplatnění služeb je nezbytné k udržení projektu při životě dlouhodobě. Kromě vyhledávání potenciálních zákazníků je úkolem Patricka Nuttalla vytvořit obchodní model, který umožní provoz centra. „Nesnažíme se prodávat nad naše možnosti,“ zdůrazňuje Nuttall a připomíná, že „v současné době nenabízí nápravu problémů vlastními zdroji“. LDSC se zabývá analýzou a prevencí.
Provoz centra LDSC byl zahájen v květnu 2015. Největším trhem pro něj jsou malé a střední podniky, na něž upozorňuje policie po napadení počítačovými zločinci. „Hovoříme s nimi fakticky o tom, jak se nestát znovu obětí.“
Síť center
Projekt LDSC je dosud v plenkách stejně jako myšlenka pomáhat s kybernetickou bezpečností malým a středním podnikům, což je segment často opomíjený a ignorovaný komerčními firmami, které nevidí způsob, jak zde prodávat bezpečnostní produkty a služby a vydělávat na tom. Úkol řešit bezpečnost malých a středních podniků – byť jen v Londýně – je takřka nadlidský. Hlavní prioritou Patricka Nuttalla je zajistit soběstačnost organizace, což se zdá dosti náročné. V dokonalém světě by centrum možná mělo ještě další rok či dva na rozjezd a podstatně větší rozpočet na marketing, aby o sobě dalo vědět.
Centrum LDSC a jeho zmiňovaný skotský předobraz snad budou pouhými prvními vlaštovkami mnohem rozsáhlejší celonárodní iniciativy, která se rozšíří do všech koutů země. V tomto smyslu centrum prošlapává cestu následovníkům, kteří budou působit mimo Londýn.
„Jakmile náš model odladíme, chtěli bychom podporovat zakládání center v regionech. Síť regionálních center podle našeho názoru dává větší smysl, protože struktura firem se v jednotlivých částech země značně liší.“
Je to běh na dlouhou trať a v určitém okamžiku bude k boji proti počítačovým útokům namířeným na malé a střední podniky v Londýně i jiných částech země zapotřebí podstatně rozsáhlejší a odvážnější projekt. Londýnské centrum digitální bezpečnosti je pouhý počátek.
Čeho se SME obávají?
Vydírání pomocí DDoS – útok kdysi vyhrazený velkým datovým centrům si nyní s oblibou bere za cíl menší firmy obchodující prostřednictvím internetu. Obvyklý průběh je následující: určitá osoba ve firmě je zasažena demonstrativním útokem, po němž přijde e-mailem výhrůžka zablokováním webových serverů, nebude-li do 24 nebo 48 hodin zaplaceno výkupné. Náklady: 800–5 000 liber.
Softwarové vyděračství – vyděračský software (tzv. ransomware) je typ škodlivého softwaru, který zašifruje soubory oběti na jednom nebo více počítačích včetně připojených zálohovacích disků a služeb. Získat data zpět znamená zaplatit. Náklady: 500–1 000 liber.
Podvodné e-maily (phishing) – tento typ útoků se mezi počítačovými zločinci těší stále velké oblibě, protože – dlužno uznat – funguje. Dnes však již nejde o využití příležitosti, ale o vysoce cílenou formu sociálního inženýrství, která zneužívá závislost malých firem na e-mailové komunikaci. Útočníci se velmi přesvědčivě dokážou vydávat za známé kontakty, často finančně napojené.
Fakturační podvody – v současné době nejběžnější typ kybernetického zločinu namířeného na malé a střední firmy. Útočníci zasílají obětem více či méně zdařile vykonstruované faktury, přičemž podob má tento druh podvodu tolik, že lze jen těžko zobecnit. Ve všech případech požaduje uhradit fakturované částky na bankovní účty, které působí dojmem, že náleží známým dodavatelům nebo klientům. Fakturační podvod odhaluje velký problém dnešního bankovnictví, kdy neexistuje možnost spolehlivě odlišit skutečnou fakturu od falešné.
Narušení dat – představuje hrozbu pro malé a střední podniky stejně jako pro každou jinou firmu libovolné velikosti. U menších však krádež dat způsobí relativně vyšší náklady z hlediska nápravy, případně finančního postihu ze strany příslušných orgánů. U větších subjektů v kategorii malých a středních podniků vyčíslila poradenská společnost PwC náklady v roce 2015 na 75 000 až 310 000 liber.
Zdroj: Computerworld UK